Dina pameungpeuk iklan Adblock Plus
Panulis daptar sareng set saringan tiasa ngatur palaksanaan kodena dina konteks situs anu dibuka ku pangguna ku cara nambihan aturan sareng operator "
Sanajan kitu, palaksanaan kode bisa dihontal dina workaround a.
Sababaraha situs, kalebet Google Maps, Gmail, sareng Gambar Google, nganggo téknik ngamuat blok JavaScript anu tiasa dieksekusi sacara dinamis, dikirimkeun dina bentuk téks bulistir. Upami server ngamungkinkeun alihan pamundut, teras neraskeun ka host anu sanés tiasa dihontal ku cara ngarobah parameter URL (contona, dina konteks Google, alihan tiasa dilakukeun ngaliwatan API "
Metodeu serangan anu diusulkeun ngan mangaruhan halaman anu sacara dinamis ngamuat string kode JavaScript (contona, via XMLHttpRequest atanapi Fetch) teras laksanakeun. Watesan penting séjén nyaéta kedah nganggo alihan atanapi nempatkeun data sawenang-wenang di sisi server asli anu ngaluarkeun sumberdaya. Nanging, pikeun nunjukkeun relevansi serangan éta, nunjukkeun kumaha ngatur palaksanaan kode anjeun nalika muka maps.google.com, nganggo alihan ngalangkungan "google.com/search".
Perbaikan masih dina persiapan. Masalahna ogé mangaruhan pameungpeuk
Pangembang Adblock Plus nganggap serangan nyata henteu mungkin, sabab sadaya parobihan kana daptar standar aturan ditinjau, sareng nyambungkeun daptar pihak katilu jarang pisan diantara pangguna. Substitusi aturan via MITM dicegah ku pamakéan standar HTTPS pikeun ngundeur béréndélan blok baku (pikeun béréndélan séjén rencanana pikeun ngalarang ngundeur via HTTP dina release hareup). Directives bisa dipaké pikeun meungpeuk serangan di sisi loka
sumber: opennet.ru